두 컴퓨터에서 Kaspersky unmasked UEFI BIOS "부트 킷"

[아름이]

두 컴퓨터에서 Kaspersky unmasked UEFI BIOS "부트 킷"
악성 코드 "MosaicRegressor"는 BIOS 코드 용 플래시 칩에 중첩되어 삭제하기 어렵지만 드문 유형의 공격입니다.

러시아 회사 Kaspersky는 조작 된 UEFI BIOS에 멀웨어 "MosaicRegressor"가 포함 된 두 대의 PC를 발견했다고 주장합니다. PC BIOS를 통한 사이버 공격이 기술 전문 용어로 "현장에서"실제로 입증 된 것은 이번이 두 번째입니다.

Kaspersky는 MosaicRegressor 공격을 특정 조직이나 해킹 팀에 명확하게 기여할 수 없습니다. 카스퍼 스키에 따르면이 공격은 북한과 관련이있는 유럽, 아프리카, 아시아의 외교관과 비정부기구 (NGO) 소유의 기기에서 수행되었습니다. Kaspersky는 이러한 선택된 장치에 대한 표적 공격을 가정하므로 무작위로 광범위하게 작동하는 맬웨어가 아닙니다.

Kaspersky에 따르면 맬웨어가 장치에 어떻게 침투 했는지도 불분명합니다. 두 가지 방법을 생각할 수 있습니다. USB 스틱을 통해 (UEFI) BIOS 업데이트와 같이 조작 된 펌웨어를 가져온 컴퓨터에 물리적으로 액세스하는 것입니다. 또는 공격자는 네트워크를 통해 피해자가 사용하는 업데이트 서비스를 손상 시키거나 다른 펌웨어 보안 허점을 악용하여 조작 된 펌웨어 이미지를 원격으로 설치했습니다. 공격을위한 노력은 여기에서도 상당 할 것입니다. 조작 된 BIOS 이미지는 각 하드웨어와 일치해야합니다.

트로이 목마 리 로더

Kaspersky는 "Anti Rootkit"패키지의 일부인 사내 "Firmware Scanner"서비스를 통해 조작 된 BIOS를 발견했습니다. 조작 된 펌웨어는 추출되어 실험실에서 추가로 조사되었습니다. 예를 들어 Virustotal.com과 같은 온라인 도구는 BIOS 이미지를 해당 구성 요소로 분해하여 표시 할 수 있습니다.

광범위한 MosaicRegressor 분석 과정에서 Kaspersky 전문가는 공격자가 사용한 네 가지 구성 요소, 즉 UEFI DXE (드라이버 실행 환경) 용 드라이버 2 개와 SmmReset 및 SmmAccessSub 프로그램 2 개를 발견했습니다.

Kaspersky에 따르면이 악성 코드는 주로 공격용 소프트웨어가 캡처 및 게시 된 2015 년 공격의 희생자 인 악명 높은 이탈리아 회사 인 Hacking Team 의 "VictorEDK"부팅 키트를 기반으로합니다 .

SMM은 공격에 자주 오용 되고 운영 체제에서 호출 할 수있는 x86 프로세서 의 작동 상태 인 시스템 관리 모드를 나타냅니다 . 두 개의 DXE 드라이버 중 하나는 NTFS 파일 시스템 용 드라이버로, 멀웨어가 "BIOS에서"시스템 하드 드라이브에 쓸 수 있습니다.

악성 코드를 삭제하기 어려움
이러한 방식으로, Windows 시작 폴더에서 부팅 키트 저장 실행 가능한 악성 코드, 특히 실행 파일 " IntelUpdate.exe"아래 \ProgramData\Microsoft\Windows\Start Menu\Programs\Startup. 결과적으로 악성 코드는 하드 드라이브 (또는 SSD)가 완전히 삭제되거나 덮어 쓰여지거나 다른 드라이브로 교체 되더라도 시스템에 자체적으로 고정됩니다. 깨끗한 펌웨어로 BIOS를 업데이트하면 맬웨어를 제거 할 수 있습니다.

Kaspersky는 "VectorEDK"도구로 준비한 UEFI BIOS 이미지를 실제로 일부 랩톱에서 구울 수 있다고 시도했습니다 (예 : AMI BIOS가있는 구형 "Asus X550C").

서버에 문의

나머지 멀웨어 공격은 주로 트로이 목마 공격의 일반적인 패턴에 해당합니다. 운영 체제에서 실행되는 멀웨어는 특정 "명령 및 제어"(C & C) 서버에 접속하여 거기에서 추가 악성 코드를로드합니다. MosaicRegressor는이를 위해 CURL (HTTP / HTTPS), BITS (Background Intelligent Transfer Service), WinHTTP API 및 메일 (POP3S / SMTPS / IMAPS)과 같은 다양한 프로토콜을 사용할 수 있습니다.

Lojax 및 MosaicRegressor
LoJax 다음으로 MosaicRegressor는 "현장에서"APT (Advanced Persist Threat)로 식별 된 두 번째 UEFI BIOS 부팅 키트입니다. LoJax는 BIOS에 고정 된 도난 노트북의 "Computrace"원격 위치를 위해 실제로 개발 된 방법 을 사용했습니다 .

MosaicRegressor는 이제 "Hacking Team"이 노트북을 감시하기 위해 정부 기관 및 비밀 기관을 위해 개발 한 기능에 의존하는 것으로 보입니다.

VectorEDK라는 이름은 아마도 Intel의 EFI Development Kit (EDK)를 의미하며, EDK II ( Tianocore / EDK2 )가 AMI, Phoenix 및 Insyde와 같은 제조업체의 많은 UEFI 펌웨어와 개방형 UEFI 버전의 기반이되는 최신 버전입니다.

위험 평가
MosaicRegressor 및 LoJax에 대한 이전 발견은 이러한 공격이 매우 복잡하고 무엇보다 공격받는 하드웨어 / 펌웨어에 맞게 조정되어야하기 때문에 이러한 공격이 매우 드물다는 평가를 확인합니다. 결과적으로 그들은 특히 민감한 데이터와 비밀 정보에 접근 할 수있는 사람과 기관, 그리고 비밀 기관의 표적이되는 정권의 반체제 인사와 반대자들에게 주로 위협이됩니다. 부트 킷을 고정하는 한 가지 방법은 예를 들어 복잡한 "Evil Maid"공격 입니다.

반대로 이는 대부분의 사용자에게 부팅 키트의 위험이 매우 낮다는 것을 의미합니다.

그러나 노트북에서 매우 민감한 정보를 보호해야하는 사람은 먼저 운영 체제로 Windows의 대안을 생각해야합니다. MosaicRegressor도 Windows에 의존하기 때문입니다.

보호 방법
BIOS 설정을 안전하게 설정하는 것이 중요합니다. 특히 BIOS 설정에 액세스하려면 관리자 암호를 설정해야합니다. 경우에 따라 우회 할 수 있더라도 새 BIOS 버전을 플래시하는 것과 같은 조작을 더 어렵게 만듭니다. 이동식 저장 매체에서 부팅하는 것도 끌 수 있습니다.

수년 동안 UEFI BIOS를 조작으로부터보다 강력하게 보호하려는 노력이있었습니다. 일부 노트북은 Intel의 BootGuard 와 같은 기능을 사용 하여 PC 제조업체가 암호화하여 서명 한 BIOS 이미지 만 실행할 수 있습니다. Intel Hardware Shield, Dell SafeBIOS , HP Sure Start, Microsoft의 Secured-Core PC 및 AMD Platform Secure Boot (PSB) 와 같은 기능과 개념 은 부작용이 있지만 한 단계 더 나아갑니다 .

Microsoft는 또한 Windows에서 시스템 관리 모드 (SMM)에 대한 액세스를 점점 더 제한하고 있습니다 ( System Guard Secure Launch 및 SMM 보호 ).

펌웨어에서 알려진 보안 허점을 없애기 위해 BIOS 업데이트를 설치하는 것도 중요합니다. 그러나 인텔의 컨 버지 드 보안 및 관리 엔진 (CSME / ME)과 같은 펌웨어 기능 업데이트는 물론 패치 된 BIOS 버전을 신속하게 제공해야하는 PC 제조업체의 도움을 받아야합니다. 완벽하게 지원되는 하드웨어와 가능한 경우 보안 메시지 (보안 권고) 만 사용해야합니다.